한국연구재단 12만 건 개인정보 유출… 국회서 재발 방지 대책 논의

초기 오판과 통지 지연, 구조적 취약점에 뚫려…공공기관 보안 체계 전면 재점검 촉구
2차 인증 도입·전수 취약점 점검 등 실질적 후속조치, 피해자 보호 위한 다각적 대응
참석자들 “개발보안 내재화·관리자 계정 관리 강화 등 제도적 개선 필요” 한목소리

1일 국회에서 입법조사처, 교육부, 한국연구재단 등 관계기관이 참석한 가운데 한국연구재단이 운영하는 논문투고심사시스템(JAMS)에서 발생한 대규모 개인정보 유출 사건과 재발 방지 대책을 논의하는 간담회가 열렸다. (사진=백두산 기자)

[한국대학신문 백두산 기자] 한국연구재단이 운영하는 논문투고심사시스템(JAMS)에서 발생한 대규모 개인정보 유출 사건과 관련해 1일 국회에서 입법조사처, 교육부, 한국연구재단 등 관계기관이 참석한 가운데 재발 방지 대책을 집중적으로 논의하는 간담회가 열렸다. 이 자리에서는 해킹 사고의 구체적 경위, 초기 대응의 한계, 피해자 보호 조치, 그리고 향후 제도 개선 방향 등이 심도 있게 다뤄졌다.

앞서 지난달 6일 새벽 2시 43분, 외부 해커가 JAMS의 비밀번호 찾기 기능 소스코드 취약점을 노려 19개 이상의 해외 IP를 동원해 6시간 넘게 40만 건이 넘는 공격을 감행하는 일이 벌어졌다.

연구재단에 따르면 이번 해킹은 정상적인 인증 절차를 우회한 해킹으로, ‘비밀번호 찾기’ 기능의 코드 취약점을 활용한 것으로 나타났다. 해킹으로 인해 응답 패킷에 개인정보가 포함된 데이터가 반환돼 총 19만 1445건(중복 제거 시 12만 2954건)의 개인정보가 유출됐다. 이 중 116명은 주민등록번호 등 고유식별정보까지 노출된 것으로 확인됐다.

연구재단은 이날 오전 9시 45분 연구자로부터 해킹 의심 신고를 받고 정보보안팀이 즉시 자체 조사에 착수했으며, 오전 11시 47분에는 JAMS 서비스 차단 조치를 내렸다. 1차 조사에서는 “비밀번호가 실제 변경되지 않았고, 계정 탈취 흔적이 없다”며 개인정보 유출 가능성을 부인했다.

이에 따라 이튿날에는 1차 조사 결과를 토대로 6만여 명의 연구자에게 안내 메일을 발송했고, 8일에는 취약점 보완 후 서비스를 재개했다. 그러나 9일 과학기술사이버안전센터 등 외부 전문기관의 정밀 분석에서 해커의 명령에 응답한 패킷에 개인정보가 담겨 유출된 사실이 최종 확인됨에 따라 12일부터 피해자 개별 통지, 홈페이지 팝업, 콜센터 운영 등 사후 조치가 이어졌고, 13일에는 경찰에 수사를 의뢰했다.

이날 국회 간담회에서는 초기 대응의 한계와 통지 지연 문제가 집중적으로 지적됐다. 연구재단 측은 “1차 조사에서 개인정보 유출 가능성을 배제하고 안내했으나, 외부 정밀 분석에서 유출이 확인돼 혼선이 있었다”고 설명했다. 그러면서 관계자들은 JAMS 시스템이 2008년 개발 당시부터 비밀번호 찾기 기능의 파라미터 검증이 미흡해 정상 사용과 해킹 시도를 구분하기 어려운 구조적 취약점이 있었던 점을 문제로 꼽았다. 이와 함께 해커가 다수의 IP를 활용해 DDoS 방지 장비의 임계치를 교묘히 회피하는 등 기존 보안 체계의 한계를 노렸던 부분 등도 지적됐다.

피해자 보호 조치와 관련해 연구재단은 이메일, 유선, 카카오톡 등 다양한 경로로 통지하고, 연락이 닿지 않는 8755명에 대해서는 홈페이지 팝업을 통해 안내했다고 밝혔다. 주민등록번호 유출 피해자에게는 별도 유선 안내를 실시했으며, 콜센터와 이메일을 통한 민원 대응도 병행했다고 설명했다. 아울러, 연락이 안 된 연구자들에게는 6차례에 걸쳐 이메일 통지를 반복하고, 24일에는 카카오톡 알림까지 동원해 전체 유출 인원에게 통지 완료를 위해 노력했다고 강조했다.

연구재단은 후속 대책과 관련해 로그인 및 비밀번호 찾기, 신규 회원가입 등 모든 인증 절차에 2차 인증(OTP) 도입, 취약점 전수 점검, 관리자 계정 관리 강화 등 보안 조치를 즉각 시행했다고 밝혔으며, 7월 중에는 전체 정보시스템에 대해 자동 진단 툴을 활용한 취약점 점검과 단계별 보완 계획이 추진할 계획이라고 밝혔다.

한편, 이번 간담회에서는 공공기관 정보시스템의 개발·운영·점검 전 과정에서 보안 내재화, 인증 강화, 개인정보 보호 기준 강화, 보안 예산·인력 확충 등 제도적 개선 필요성도 강조됐다. 간담회에 참가한 관계자들은 “공공기관 정보보호 체계의 전면 재정비와 실효성 있는 재발 방지 대책이 필요하다”고 지적했다.

간담회를 주관한 이덕난 국회 입법조사처 교육문화팀장은 “연구재단에서 개인정보 유출이 됐다는 얘기를 듣고 연구재단의 정보 보안이 취약한 것은 아닐지 우려됐다”며 “사실관계 확인도 중요하지만 연구재단과 같은 중요한 기관에서 해킹이나 이런 정보 유출이 발생하지 않게 대응 체제를 어떻게 구축하고, 이번에 발생한 문제가 예산의 문제인지, 인력 부족의 문제인지 등에 대해 짚어봐야 한다. 무엇보다도 향후 대응 체제를 구축하는 것이 중요하다”고 강조했다.